owasp top 10-CSDN博客

1、访问控制的崩溃
通过身份验证的用户可以访问其他用户的信息越权
达成方式通过修改url、内部应用程序状态或html页面绕过
防范除了公有资源外默认情况下拒绝访问严格判断权限记录失败的访问控制及时上报告警
2、敏感数据泄露
达成方式用户安全意识参差不齐
防范加强员工意识谨慎使用第三方软件禁止使用工作邮箱注册非工作相关网站
3、注入
将sql命令或xss插入到web表单进行查询
达成方式通过web表单和url填入sql语句执行
防范对用户进行分级管理禁止将变量写入sql语句提交变量时对引号单引号冒号等字符进行
转换或者过滤按时进行扫描系统存在的相应漏洞多层验证数据库信息加密
4、不安全的设计
逻辑漏洞
5、配置安全不当
不安全的默认配置、不完整的临时配置、开源云存储、错误的http标头配置以及包含敏感信息的详细错
误信息造成的
达成方式应用程序启用或安装了不必要的安全功能默认账号名和密码没有修改应用软件已过期或
出了新版本未更新应用程序服务器应用程序服务器应用程序框架等未进行安全配置错误处理机
制披露大量敏感信息对于更新的系统禁用或不安全地配置安全功能
防范按照加固手册加固搭建最小平台不包含任何不必要的功能、组件、文档和示例临时文件要
及时删除
6、使用含有已知漏洞组件
软件易受攻击不再支持或者过时。这包括OSWeb服务器应用框架服务器数据库管理系统
应用程序API和所有地组件运行环境和库没有对更新地、升级地或者打过补丁地组件进行兼容性
测试
防范移除不使用的依赖、不需要地功能、组件、文件和文档仅从官方渠道安全的获取组件并使用
前面机制来降低组件被篡改或加入恶意漏洞的风险监控那些不在维护或者不发布安全补丁的库和组件
7、身份识别和身份验证错误
允许暴力破解的密码或者账号允许默认的、弱的或总所周知的密码使用明文、加密或弱散列密码
缺少或失效的多因素身份验证暴露url中的会话id旧密码泄露会话id使用时间过长
防范在可能的情况下实现多因素身份验证检查弱口令限制或逐渐延迟失败的登录尝试使用服
务端安全的内置会话管理器
8、软件和数据完整性失败
防范使用数字签名或类似机制来验证软件或数据来自预期来源且未被更改确保使用安全工具验证组
件不包含已知漏洞确保未签名或未加密的序列化数据不会在没有检查或数字签名的情况下发送到不受
信任的客户端
9、不足的安全日志和监控故障
内检能力不足没有办法在别人攻击的时候发现
防范确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去并保留足够的用户上下文
信息确保日志以一种能被集中管理解决方案使用的形式生成确保高额交易有完整性控制的审计信
息以防止篡改或删除审计信息保存在只能进行记录增加 的数据库表中
10、服务器请求伪造
ssrf利用一个可以发起网络请求的服务当做跳板来攻击其他服务使用web服务器作为代理来进行攻
击
防范检查和验证所有客户端提供的输入数据使用白名单允许列表执行url统一资源标志端、端口和目
标不发送原始的回复禁用http重定向